java访问未验证证书的HTTPS



用http进行连接的，客户端代码比较简单，直接使用URL类进行连接并获取输入流即可。https不需要客户端证书，并且服务器端的证书是已经受信任的也同http一样容易。当验证的证书每年的费用得好几千元，为了省钱，这里主要是说java访问未验证证书的https的访问。
通常有两种方案：1、将证书导入到TrustStore文件中；2、修改X509证书信任管理器类的实现。推荐使用第一种方案，我们可以尽量让服务器的证书稳定，不在使用中修改就可以了。
第一步、导出服务器端证书。用ie连接地址，然后出现了证书确认的提示框，点击查看证书－详细信息，点击复制到文件，选择base64编码，导出保存文件为test.cert。
第二步、把证书从其它文件导入到TrustStore文件中。
keytool -import -file test.cer -keystore test_store
第三步、设置java的javax.net.ssl.trustStore的系统属性
System.setProperty(“javax.net.ssl.trustStore”, “D: \\test_store”);//注意是绝对路径
这样通过HttpClient应用接口就可以访问我们自己的https服务了。
常见错误：javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: Java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty 异常，有两种情况：
1、没有设置或者文件路径设置错误；
2、证书就采用keytool的默认jks类型就可以，否则也会报错，参考内容
An implementation of PKCS12 as JCA keystore type “pkcs12″. Storing trusted anchors in PKCS12 is not supported. Users should store trust anchors in JKS format and save private keys in PKCS12 format.
来自http://www.cs.nyu.edu/artg/internet/Spring2006/readings/JSSERefGuide.html

No related posts.

原文链接:http://www.wenhq.com/article/view_711.html